Bekkjarvik

Gir du fra deg passordet ditt?

Publisert 22. Januar 2011

For noen uker siden begynte jeg å få feilmeldinger på den ene bærbare maskinen min om at harddisken hadde feil, og burde byttes ut. Ettersom at garantitiden enda ikke var utgått, tok jeg med meg maskinen til Siba hvor jeg hadde kjøpt den.

Etter litt diskusjon frem og tilbake med en ansatt som mente det kunne være Windows 7 eller Ubuntu som forårsaket feilen (ehm?), fikk jeg levert inn maskinen til service. Det var da jeg ble bedt om å oppgi passordet til min brukerkonto.

Jeg har jobbet med IT lenge nok til å vite at passord ikke er noe man gir fra seg til hvem som helst. Og naturlig nok lurte jeg på hva de egentlig skulle med passordet mitt, da jeg regnet med at de hadde egne diagnostikkverktøy de kjørte for å finne evt. feil på disken. Men der var det standard praksis å oppgi passord, slik at de på verkstedet kunne se nøyaktig hvilke feilmeldinger kunden fikk. Jeg har levert maskiner med harddiskfeil før, i jobbsammenheng, og har aldri før blitt bedt om å oppgi passord.

Nå er det riktignok slik at enhver med litt peiling på data uten problemer kan få tak i innholdet på en harddisk uten noe passord (med mindre innholdet er kryptert), og det er greit nok. Jeg slettet alt innhold på maskinen før jeg leverte den inn likevel. Men et passord kan i mange tilfeller være veldig nytt informasjon for personer med uærlige hensikter.

Hovedgrunnen til det er at alt for mange har elendig håndtering av sine passord. Det vil stort sett si at man bruker ett og samme passord på alt som krever passord. Passordet man bruker på favoritt spill-siden kan dermed være det samme man bruker i nettbanken. Skummelt.

Jeg har naturligvis helt andre rutiner, og sørger for å ha ulike passord på omtrent alle tjenester.

Det jeg kanskje reagerer mest på er at jeg ikke ble oppfordret til å bytte passord før jeg leverte maskinen. Det burde være standard prosedyre at kunden måtte bytte passord før man kunne levere inn maskinen. På den måten får butikken gjort jobben sin (forutsatt at de virkelig trenger det fordømte passordet mitt...), samtidig som at du i vanvare slipper å gi fra deg passordet du bruker til så mangt.

Dette er ikke noe problem for oss som kjenner til betydningen av et passord, men det gjelder dessverre veldig få personer. Derfor har butikkene et ansvar for å sørge for at de ikke åpner opp for et potensielt tyveri av personlig informasjon.

Hadde du gitt fra deg passordet ditt?

Dette bildet har forøvrig et veldig godt budskap:

passord-pants.jpg
Foto: parmiter CC by-nc-nd

6 kommentarer

Svar på denne kommentarenEspen
10. November 2009

Naturligvis hadde de fått passordet mitt, jeg hadde bare byttet det til noe annet først (og slettet alt som lå på maskinen, om det var mulig).

Svar på denne kommentarenJan Frode
10. November 2009

Uenig i første punkt på plakaten, man kan definitivt tørke truser ute på snora. Hvorfor skulle man ikke kunne gjøre det?

Svar på denne kommentarenPalme
10. November 2009

Gjorde du de oppmerksom på at de kanskje burde endre rutinene slik at de oppforder kundene å skifte passord før de leverer inn maskinen? Jeg mener dette er selvsagt, og ville trodd de fleste seriøse verksteder (om du vil) gjorde dette.

Svar på denne kommentarenAudun
10. November 2009

Espen:

Naturligvis hadde de fått passordet mitt, jeg hadde bare byttet det til noe annet først (og slettet alt som lå på maskinen, om det var mulig).

De fikk naturligvis passordet mitt også, når jeg hadde endret det. Men jeg må si jeg ble overrasket over at de spurte - det er første gang jeg har vært borti noe slikt.

Jan Frode:

Uenig i første punkt på plakaten, man kan definitivt tørke truser ute på snora. Hvorfor skulle man ikke kunne gjøre det?

Man kan definitivt gjøre det, men personlig ville jeg ikke ha hengt trsa mi ute så alle kunne se. Hvis man kun har èn truse inneholder den sikkeret mange hemmeligheter (jeg avviker fra normale menneskers hygiene for eksempelets skyld) som man ikke vil dele :)

Palme:

Gjorde du de oppmerksom på at de kanskje burde endre rutinene slik at de oppforder kundene å skifte passord før de leverer inn maskinen?

Jeg gjorde ikke det, men skal si fra om det når jeg henter maskinen om noen dager.

Svar på denne kommentarenDaniel Aleksandersen
10. November 2009

Jeg sitter med bange anelser å pakker inn en 2 TB harddisk som krasjet i helgen. Den skal sendes inn til forhandler så jeg kan få tilbake iallfall litt av de 3600 NOK enheten kostet 1,6 år siden.

Problemet er: store deler av diskoverflaten er ødelagt (bad sectors) og ingen diagnoseverktøy vil lengre kjenne igjen disken. Jeg får på ingen måte formatert den eller fjernet innholdet før jeg sender den fra meg.

Disken inneholder blant annet: et fult sett av dataene på maskinen min (Time Machine backup) ink. jobbrukerkontoen (kryptert FileVault) og alle mine lagrede passord (kryptert Nøkkelring), mine beskjedne 1 GB ‘voksenunderholdning’ (kryptert diskbilde), hele mediabiblioteket mitt, og to år verdt av epost og samtaler. Dette er noe jeg ikke vil gi fra meg!

Men det er snakk om en del penger, så jeg har latt meg selge. Det er en svak forsikring om at ‘joda, ingen skal snoke i dataene dine’ og jeg aner ingenting om hva som skjer med disken etter ‘analyse foretatt av tredjepart for å utgreie reklamasjonsrett’. (Noe som strengt tatt er unødvendig når det er snakk om såpass store sektorfeil på en disk, men det er en annen sak.)

Har sendt inn forespørsel til Datatilsynet og Forbrukerrådet om unntak i reklamasjonssaker som omhandler harddisker. Så i fremtiden vil man forhåpentligvis kunne nytte reklamasjonsretten og få beholde eller destruere sine private data.

I fremtiden skal jeg selv være flinkere til å nytte krypterte diskbilder til epostarkiv og annen ‘halvsensitivt data’.

Svar på denne kommentarenAudun
11. November 2009

Jeg skjønner veldig godt hvorfor du nøler, det ville jeg også gjort. I dette tilfellet får du faktisk håpe at disken er så skadd at ingen klarer å lese data fra den.

Jeg har store planer om å krypere alt innholdet på mine to bærbare maskiner, slik at jeg trygt (tryggere) kan levere fra meg dem. De stasjonære er det ikke så farlig med, fordi jeg ikke levere den til noen leverandør for å få maskinen til å fungere igjen, jeg kan i utgangspunktet bare bytte disken selv ettersom at den er selvbygd.

Forøvrig veldig bra at du tar dette opp med Datatilsynet. Jeg regner med at du blogger når du får et svar, så skal jeg følge spent med. Etter mitt syn burde man kunne vise i butikken at disken er defekt, og deretter få en ny disk med en gang uten å måtte levere fra seg disken.

Legg igjen din kommentar

Ditt navn: *

E-postadresse: *

Nettsted:

Melding: *